MinhSec
Writer
Ngày 30/6 vừa qua, hai nhà nghiên cứu an ninh mạng Ian Carroll và Sam Curry đã bất ngờ phát hiện ra một lỗ hổng nghiêm trọng trong hệ thống tuyển dụng bằng trí tuệ nhân tạo (AI) của McDonald's và việc "hack" vào bên trong dễ đến mức khiến họ ngỡ ngàng.
McDonald's sử dụng chatbot có tên "Olivia", được phát triển bởi công ty Paradox.ai, để tự động trò chuyện và tuyển dụng ứng viên. Khi Carroll và Curry thử trò chuyện với Olivia trên nền tảng McHire.com, họ phát hiện một liên kết đăng nhập dành cho nhân viên nội bộ của Paradox.ai. Điều đáng nói là chỉ sau hai lần thử, họ đã đoán đúng tài khoản quản trị viên với mật khẩu đơn giản đến mức không tưởng: “123456”.
Sau khi đăng nhập thành công, hai nhà nghiên cứu có quyền truy cập gần như toàn bộ các ứng dụng và dữ liệu tuyển dụng mà McDonald’s từng sử dụng trong nhiều năm. Họ nhanh chóng nhận ra rằng chỉ cần thay đổi mã định danh của ứng viên là có thể xem tên, email và số điện thoại của bất kỳ ai đã từng ứng tuyển ước tính lên tới khoảng 64 triệu hồ sơ.
Paradox.ai sau đó thừa nhận lỗ hổng này trong một bài blog và cam kết rằng dữ liệu không bị rò rỉ ra ngoài nhóm nghiên cứu. Họ cũng cho biết sẽ triển khai chương trình “tiền thưởng lỗi” để mời các chuyên gia bảo mật phát hiện thêm các điểm yếu tương tự.
Đại diện pháp lý của Paradox.ai, bà Stephanie King, khẳng định: “Chúng tôi không xem nhẹ vụ việc này, dù nó đã được khắc phục nhanh chóng”. Phía McDonald's cũng cho biết lỗi hoàn toàn nằm ở bên cung cấp dịch vụ và đã được xử lý ngay trong ngày họ nhận báo cáo. "Chúng tôi rất thất vọng trước lỗ hổng không thể chấp nhận này", tuyên bố của McDonald’s viết.
www.thedailybeast.com
McDonald's sử dụng chatbot có tên "Olivia", được phát triển bởi công ty Paradox.ai, để tự động trò chuyện và tuyển dụng ứng viên. Khi Carroll và Curry thử trò chuyện với Olivia trên nền tảng McHire.com, họ phát hiện một liên kết đăng nhập dành cho nhân viên nội bộ của Paradox.ai. Điều đáng nói là chỉ sau hai lần thử, họ đã đoán đúng tài khoản quản trị viên với mật khẩu đơn giản đến mức không tưởng: “123456”.
Truy cập vào dữ liệu của hàng triệu ứng viên
Sau khi đăng nhập thành công, hai nhà nghiên cứu có quyền truy cập gần như toàn bộ các ứng dụng và dữ liệu tuyển dụng mà McDonald’s từng sử dụng trong nhiều năm. Họ nhanh chóng nhận ra rằng chỉ cần thay đổi mã định danh của ứng viên là có thể xem tên, email và số điện thoại của bất kỳ ai đã từng ứng tuyển ước tính lên tới khoảng 64 triệu hồ sơ.

Paradox.ai sau đó thừa nhận lỗ hổng này trong một bài blog và cam kết rằng dữ liệu không bị rò rỉ ra ngoài nhóm nghiên cứu. Họ cũng cho biết sẽ triển khai chương trình “tiền thưởng lỗi” để mời các chuyên gia bảo mật phát hiện thêm các điểm yếu tương tự.
Đại diện pháp lý của Paradox.ai, bà Stephanie King, khẳng định: “Chúng tôi không xem nhẹ vụ việc này, dù nó đã được khắc phục nhanh chóng”. Phía McDonald's cũng cho biết lỗi hoàn toàn nằm ở bên cung cấp dịch vụ và đã được xử lý ngay trong ngày họ nhận báo cáo. "Chúng tôi rất thất vọng trước lỗ hổng không thể chấp nhận này", tuyên bố của McDonald’s viết.

Hackers Accessed McDonald’s Data With Simple Password
Security researchers gained access to years of applicant data using an absurdly insecure password.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview